Escolar Documentos
Profissional Documentos
Cultura Documentos
CIBERNÉTICA
P O L Í T I C A D A
I N S T I T U I Ç Ã O
OBJETIVO
Estabelecer as regras e diretrizes pertinentes à Segurança Cibernética e instituí-las junto aos processos que
possuem acesso as informações sensíveis de clientes e parceiros da RENASCENÇA DTVM LTDA.
(“Renascença”), em conformidade com o determinado pela Diretoria Executiva, pelas normas e legislação
vigentes.
APLICAÇÃO
As regras estabelecidas neste documento devem ser cumpridas pelos dirigentes, funcionários e prestadores
de serviços (“Colaboradores” / “Colaborador”) vinculados à Renascença.
REGRA(S) REGULAMENTAR(ES)
Lei nº 12.846, de 01 de agosto de 2013 - Lei Anticorrupção: Dispõe sobre a responsabilização administrativa e
civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá
outras providências.
Resolução nº 4.658, de 26 de abril de 2018: Dispõe sobre a política de segurança cibernética e sobre os
requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação
em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar
pelo Banco Central do Brasil.
Instrução CVM nº 612, de 21 de agosto de 2019: Altera, acrescenta e revoga dispositivos à Instrução CVM nº
505, de 27 de setembro de 2011, e revoga a Instrução CVM nº 380, de 23 de dezembro de 2002.
DIRETRIZES GERAIS
As regras e diretrizes relacionadas ao Controle de Acesso (via Sistema Interno de Ocorrência), Segregação de
Funções, Classificação dos tipos de informações utilizadas na Instituição, Recursos Humanos (Contratação e
Movimentação de Pessoas), Propriedade Intelectual, Segurança Física, Uso dos Recursos de TI, Processo –
Mesa Limpa e Tela Limpa, devem ser seguidas de acordo com o determinado e publicado no Instrumento
Normativo Política de Segurança da Informação – Corporativa.
PROCESSO DE AUTENTICAÇÃO
As regras relacionadas à configuração de senha são determinadas, pela Área de TI– Telecom, Suporte e
Infraestrutura, que adota os requisitos mínimos em conformidade com o definido pelo Órgão Regulador.
A Instituição utiliza mecanismo (s) de segurança e privacidade que torna (m) determinada (s) comunicação
(ões) ininteligível (eis) para quem não tem acesso aos códigos de “tradução” da mensagem.
A (s) chave (s) criptográfica (s) adotada (s), internamente, propõe (m) a proteção de todos os conteúdos
transmitidos, evitando a intercepção por parte de cibercriminosos, hackers e espiões, bem como garantem a
confidencialidade das mesmas contra-ataques ativos e passivos e, também, a autenticação de origem e
destino, característica obrigatória de um protocolo confiável para distribuição de chaves.
Visando a segurança ativa na Instituição é utilizado o “Sistema de Segurança” que responde a atividade
suspeita, encerrando uma sessão de usuário ou reprogramando o firewall para bloquear o tráfego de rede de
uma fonte maliciosa suspeita, bem como para proteger contra softwares maliciosos.
MECANISMOS DE RASTREABILIDADE
Tendo como processo extremamente importante para o bom funcionamento das operações e negócios, os
sistemas utilizados pela Instituição possuem dados e fatos organizados, ou seja, possuem o registro das
ações realizadas, bem como dispõem a capacidade de identificar de onde vem cada um dos registros,
alertas e problemas de uma determinada área.
Dentre os sistemas críticos da Instituição (relacionados às operações / negócios e indicados no PCN – Plano
de Continuidade de Negócios), que possuem o mecanismo de rastreabilidade e que garantem a segurança
das informações sensíveis, está o sistema homologado pela B3 “Sistema Integrado de Administração de
Corretoras (SINACOR) ”, que controla toda a movimentação do cliente na corretora, as operações de bolsa,
conta corrente e custódia de ativos.
MANUTENÇÃO DE CÓPIAS DE SEGURANÇA DOS DADOS E DAS INFORMAÇÕES
A Instituição possui regras definidas para a realização da manutenção de cópias de segurança dos dados e
das informações. Os dados são armazenados em fita, por meio de backup diário, guardado em outro local
físico. A cópia diária (backup) compõe todos os arquivos de dados do servidor (base de dados, planilhas,
textos, entre outros) e as últimas atualizações efetuadas (inclusões, alterações e exclusões de registros).
A regras sobre o tema estão descritas e publicadas no Instrumento Normativo Política de Segurança da
Informação – TI – Item Segurança dos Arquivos / Banco de Dados.
Para a Instituição um incidente de segurança cibernética é definido como qualquer evento adverso,
confirmado ou sob suspeita, relacionado à segurança de sistemas de informação levando a perda de um ou
mais princípios básicos de Segurança da Informação: Confidencialidade, Integridade e Disponibilidade.
Os registros dos incidentes de segurança cibernética, os planos de ações e de resposta, bem como o
relatório anual, devem ser executados por meio do Sistema Interno de Ocorrência. Esse processo deve ser
registrado de forma ágil e clara, visando a documentação do apontamento e da resolução da falha
detectada.
RESOLUÇÃO E
FECHAMENTO DIAGNÓSTICO INVESTIGAÇÃO
RECUPERAÇÃO
AGIR AGRAVA
5 MUITO ALTA
IMEDIATAMENTE RAPIDAMENTE
AGRAVA
4 ALTA AGIR COM URGÊNCIA
EM POUCO TEMPO
AGIR O QUANTO
AGRAVA NO MÉDIO
3 NORMAL ANTES – CURTO
PRAZO
PRAZO
AGRAVA NO LONGO
2 BAIXA PODE AGUARDAR
PRAZO
O Programa de Segurança Cibernética instituído deve ser revisado anualmente ou mesmo antes desse
período, caso seja necessário, devendo ser testado, por meio de:
A Área de Tecnologia da Informação – Segurança da Informação deve preencher o relatório anual sobre a
implementação do plano de ação e de resposta a incidentes, com data-base de 31/dezembro. É
imprescindível a apresentação do respectivo relatório, à Diretoria Executiva, até 31 de março do ano seguinte
ao da data-base. É importante ressaltar que, o respectivo Relatório deve ser executado por meio do Sistema
Interno de Ocorrência.
Descrição do incidente e das medidas tomadas, informando o impacto gerado pelo incidente sobre a
operação da Instituição e seus reflexos sobre os dados dos clientes;
Dos relatórios internos de investigação produzidos sobre a análise do incidente e as conclusões dos exames
efetuados.
COMUNICAÇÃO TEMPESTIVA AO BANCO CENTRAL E À SUPERINTENDÊNCIA DE RELAÇÕES
COM O MERCADO E INTERMEDIÁRIOS (SMI)
Conforme a Resolução nº 4.658 de 2018, deve ser realizada a comunicação tempestiva ao Banco Central das
ocorrências de incidentes relevantes e das interrupções de serviços relevantes (incidentes e serviços:
somente os que configurem uma situação de crise pela Instituição) bem como das providências para
reinício das atividades.
É imprescindível que esse tipo de situação seja, também, devidamente registrado no Sistema Interno de
Ocorrência.
Conforme a Instrução CVM nº 612 de 2019, deve ser realizada a comunicação tempestiva à SMI das
ocorrências de incidentes. O comunicado deve ser composto por:
Tempo consumido na solução do evento ou prazo esperado para que isso ocorra;
É imprescindível que esse tipo de situação seja, também, devidamente registrado no Sistema Interno de
Ocorrência.
Por as mesas de operações tratarem diretamente com clientes, as mesmas estão sujeitas à necessidade de
validação de termos dos negócios fechados e devem ter suas linhas telefônicas gravadas, visando o registro e
o atendimento à exigência regulatória. Os colaboradores envolvidos neste processo, devem estar cientes
dessa exigência.
A gravação realizada deve ser arquivada em formato digital pelo prazo mínimo de 05 (cinco) anos. Para mais
informações sobre o tema, verificar as regras publicadas na Política Gravação de Voz.
PROTEÇÃO E REVISÃO DE REGISTRO DE EVENTOS (LOGS)
Os sistemas utilitários como gerenciador de banco de dados e outras ferramentas de gestão de rede,
especialmente as que acessam dados em Produção, geram o Registro de Operações, é fundamental que os
logs gerados sejam protegidos de alteração e deleção. Deve ser realizada a revisão periódica dos mesmos,
quer diretamente, quer usando rotina de extração de operações pontuais com software de extração e
análise de dados.
Para manuseio, troca e armazenamento de dados não deve ser permitido ao colaborador a extração direta
de informações, sem que seja formalizado um pedido, e aprovado pela Diretoria de Operações e/ou Diretoria
Administrativa e TI. Para garantir que esta restrição seja efetiva, os dispositivos de leitura e gravação USB são
bloqueados. Exceções devem ser deliberadas, somente, pela Diretoria Administrativa e TI.
DESCARTE DE MÍDIAS
Todos os equipamentos periféricos (que recebem ou enviam informações para o computador, podendo ser,
impressoras, mouses, teclados, entre outros) devem ser homologados pela Área de Tecnologia da
Informação, sendo necessária a priorização do uso seguro de impressoras e material impresso. No uso
cotidiano todos os colaboradores devem adotar a opção de timeout nas estações de trabalho, ou seja, ativar
a Proteção de Tela do Windows protegida por senha, de modo que em ausência maior que 10 minutos, seja
ativada esta proteção, salvo exceções mesas e/ou bancadas que possuam terminais de operações.
REDES WIRELESS
A Instituição possui rede sem fio configurada para comodidade e flexibilidade em acessos de natureza
específica ou extraordinária. O acesso a rede sem fio somente deve ser permitido mediante aprovação da
Diretoria de Operações e/ou Diretoria Administrativa e TI. A rede sem fio da Instituição não permite acesso
aos recursos de rede local, sua utilização visa exclusivamente o acesso à internet, de forma irrestrita.
O controle de acesso deve ser efetuado garantindo de forma confiável a restrição de acessos indevidos e/ou
maliciosos. O detalhamento deste processo está descrito no Manual de Controles Internos - Concessão de
Acessos aos Sistemas - Segregação de Funções.
REGRAS ESPECÍFICAS SOBRE SEGURANÇA DA INFORMAÇÃO – TI, SEGURANÇA
DA INFORMAÇÃO - CORPORATIVA E PROGRAMA HOME OFFICE
A Renascença, entendendo a importância da segurança da informação, possui regras específicas para que
visam proteger os ativos de tecnologia e os dados dos seus clientes. Deste modo, toda atividade
desempenhada na Instituição, bem como a ela relacionada, deverá respeitar os princípios estabelecidos nas
Políticas informadas a seguir:
Regras associadas à proteção das informações e da propriedade intelectual estão estabelecidas na Política
de Segurança da Informação – Corporativa.
Regras e as diretrizes associadas à proteção das informações, bem como à execução das atividades
laborativas em domicílio, com observância aos princípios de ética, responsabilidade e diligência estão
estabelecidas na Política Programa Home Office.
Regras e ações relacionadas às melhorias e alterações com base nos riscos potenciais conhecidos e demais
assuntos de Tecnologia da Informação e Segurança da Informação estão determinadas no Comitê de
Tecnologia da Informação
Em caso de armazenamento de dados pessoais e/ou dados sensíveis relacionados aos clientes, a Renascença
respeitará os padrões adequados de segurança, sigilo e confidencialidade, ficando o referido processo sujeito
às auditorias regulatórias.
A LGPD conceitua “dados pessoais” e “dados sensíveis”, ficando tais conceitos definidos como sendo (i)
“dados pessoais”: informações relacionadas à pessoa natural identificada ou identificável; e (ii) “dados
sensíveis”: dado pessoal passível de discriminação, tais como: origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A Renascença pauta suas atividades agindo com integridade e honestidade em suas práticas gerenciais e
em suas operações comerciais, combatendo a corrupção e o suborno em todas as suas formas,
especialmente por meio de seus colaboradores, fornecedores, terceiros e administradores. Desta forma, é
vital para a Instituição que todos os mencionados tenham conhecimento e observem todas as normas
relacionadas à anticorrupção e suborno, sobretudo a Lei nº 12.846 de 01/08/2013 (“Lei Anticorrupção”).
Informações relacionadas às negociações e aos sistemas da Renascença deverão ser mantidas de forma
confidencial, inclusive em virtude da possibilidade de acesso remoto dos Colaboradores às referidas
informações. Portanto, todo cuidado deve ser tomado quanto ao que é dito, escrito ou comunicado,
inclusive, eletronicamente, mesmo que em ambiente de trabalho remoto.
Em havendo qualquer exceção relacionada às regras e diretrizes estabelecidas nesta Política, esta deverá ser
aprovada, em primeira instância, pela Diretoria Executiva Administrativa,Financeira e TI e pela Gerência Geral
Administrativa e Compliance.
VERSIONAMENTO